Jakubekdzidzia Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Witam, Jako że wyczerpałem zasób wiedzy jaki posiadam (czyli dość szybko) w temacie reperacji komputerów robiących rzeczy dziwne przychodzi mi prosić o pomoc... Zatem bardzo ładnie proszę o pomoc. Ad. 2 Problem dotyczy zasadniczo przeglądarki chrome: -> Otwieranie zakładek z reklamami, samoczynne i przy kliknieciu w "czysty" link -> Otwieranie zakładek z reklamami nawet jak chrom jest wyłączony, -> Ściąganie yet_another_cleaner -> Powstawanie dziwnych folderów Przyznaje się do użycia Combofixa, Adwcleaner Rkill, Tdsskiller, Junkware Removal Tool jednak nie wiem gdzie szukać logów po tych że operacjach. Albo nie ma ich tam gdzie mówi difotowo instrukcja (znalezione załączyłem). Zastosowałem to oprogramowanie na zasadzie odpal i zapomnij mając nadzieje że pomoże... No i nie pomogło ale też nie zaszkodziło w sposób zauważalny w sensie jest tak samo jak było... Ad.3 Jak w przepisie (mam nadzieje) Jeszcze raz proszę o poradę. Addition.txt FRST.txt Shortcut.txt Gmer.txt JRT.txt Rkill.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Problem dotyczy zasadniczo przeglądarki chrome: -> Otwieranie zakładek z reklamami, samoczynne i przy kliknieciu w "czysty" link -> Otwieranie zakładek z reklamami nawet jak chrom jest wyłączony, -> Ściąganie yet_another_cleaner -> Powstawanie dziwnych folderów - Jeśli chodzi o budowę Chrome widzianą w raportach, to pozornie nic nie widać w konfiguracji, ale posiadasz świeżo dodane nieoficjalne rozszerzenie Silverlight for Chrome (to nie jest rozszerzenie Microsoftu). Przeczytaj podobny temat, gdzie sugerowałam, że to rozszerzenie może być problemem: KLIK. - Jeśli chodzi o infekcję ogólną, to owszem jest - ładuje się Bitcoin miner ze strumieni NTFS podczepionych pod katalog C:\temp, towarzyszy tego też taki długi wpis startowy "AAAAAAA...". Przy okazji, log z GMER wykazuje dziwną sprawę, tzn. ukryte uruchomione procesy jakoby "Ad-Aware Antivirus", choć nie ma śladów tej instalacji. - YAC (Yet Another Cleaner) to niepożądany podejrzany program: KLIK. - O jakich folderach mówisz? Przyznaje się do użycia Combofixa, Adwcleaner Rkill, Tdsskiller, Junkware Removal Tool jednak nie wiem gdzie szukać logów po tych że operacjach. Albo nie ma ich tam gdzie mówi difotowo instrukcja (znalezione załączyłem). Zastosowałem to oprogramowanie na zasadzie odpal i zapomnij mając nadzieje że pomoże... Raportu z ComboFix brak - nie jest widoczny plik C:\ComboFix.txt, za to dużo innych komponentów ComboFix. Jest za to folder C:\AdwCleaner - czy tam nie ma jakiś logów? Działania wstępne: 1. Odinstaluj stare wersje: Adobe Flash Player 11 ActiveX, Java 7 Update 25 (64-bit), Java 7 Update 45 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\Aniut\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid d7d99be1fdb047d3b0af416272bd952b-7b84e138c2dd6d732339f8a915c00ffe944619fe --CMPID 0913b HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1 HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-4088076161-2145778700-1263544819-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Task: {B992F898-14DC-46B6-919B-FCA513BA9082} - System32\Tasks\{63A47BC4-989C-42B1-87A6-BEACADDAEABA} => pcalua.exe -a "D:\fotografia\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Patch + Key\Nero-12.0.02000_trial .exe" -d "D:\fotografia\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Patch + Key" Task: C:\Windows\Tasks\0414bUpdateInfo.job => C:\ProgramData\Avg_Update_0414b\0414b_AVG-Secure-Search-Update.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 NDSPCIIO; \??\C:\Windows\system32\DRIVERS\NDSPCIIO64.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\temp C:\Program Files\Common Files\Lavasoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\Users\Aniut\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences C:\Users\Aniut\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\*localstorage* C:\Users\Aniut\AppData\Roaming\LavasoftStatistics Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Silverlight for Chrome Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale pozostałe rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + GMER. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany oraz objaśnij jakie foldery Cię niepokoją. Odnośnik do komentarza
Jakubekdzidzia Opublikowano 4 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2015 - O jakich folderach mówisz? (...) Jest za to folder C:\AdwCleaner - czy tam nie ma jakiś logów? Foldery niestety zostały usunięte przez innego użytkownika jedyny komentarz to "bit cośtam" wiecej nie mogę powiedzieć niestety... Sumiennie przystępuje do recepty... logi z Adwclenera załączam Wszystkie kroki przebiegły niemalże bezboleśnie (de instalacja jawy sie nie podobała komputerowi) Oraz nie zresetował się w sposób taki jak ja to rozumiem (w sensie nie przeleciał przez bios) Złączam pliki i czekam czy pojawi się jakieś dziwne zachowanie... AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerS0.txt AdwCleanerS1.txt Quarantine.txt Fixlog.txt FRST.txt GMER2.TXT Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Fix w FRST w ogóle nie wykonany - otwórz plik Fixlog, jest kompletnie pusty, nic nie wkleiłeś do Notatnika. Do powtórzenia punkt 2 oraz 4 (ale log z GMER już nie jest potrzebny). Odnośnik do komentarza
Jakubekdzidzia Opublikowano 4 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Przepraszam już się poprawiam... Komputer postanowił strzelić BSa przy restarcie... Ale już teraz normalnie się wyłączył FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Wszystko zrobione, więc czekam na wyniki czy nadal są jakieś problemy i przekierowania. Na teraz drobny skrypt końcowy. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Windows\system32\npDeployJava1.dll CMD: del /q C:\Windows\system32\deployJava1.dll CMD: del /q C:\Users\Aniut\Downloads\f0o8ssyv.exe CMD: C:\Users\Aniut\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Ostatnia komenda to deinstalacja ComboFix. Odnośnik do komentarza
Jakubekdzidzia Opublikowano 4 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Zrobione. Dziękuję, teraz komputerek jest jak nowo narodzony Fajnie, że są jeszcze ludzie którzy tak chętnie dzielą się wiedzą i doświadczeniem Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Fix wykonany. Na koniec: 1. Skasuj folder C:\Windows\erdnt (kopia rejestru utworzona przez ComboFix0. 2. Zastosuj DelFix oraz uzupełnij najnowszą Java (o ile potrzebna): KLIK. Odnośnik do komentarza
Jakubekdzidzia Opublikowano 4 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Zrobione DelFix.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Delfix wykonaj zadanie. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi